扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
来源:计算机世界报 2008年04月21日
关键字:系统安全 Windows 2008
世人期待已久的WindowsServer 2008终于正式与大家见面了,这距离Windows Server 2003的第一次亮相已有五年之久。人们对于这次升级究竟能给用户带来些什么,早就有了很多的期许。技术上的新突破、虚拟化技术的引入能不能给用户带来真正的价值?
微软的新一代服务器操作系统Windows Server 2008在2008年2月27日全球发布,正式向外界揭开了自己已并不神秘的面纱。当全球一起面对这个被鲍尔默称为“微软在2008年最重要的发布”的时候,相信大家最关心的问题是:Windows Server 2008何时会在企业内大范围应用,完成升级并取代Windows Server 2003?
虽然来自经销商CDW的一份调查结果显示,68%的企业和组织将会升级到新的Windows Server 2008系统,并有18%的企业和组织已经进入到了规划阶段。不过,我们应该还记得,CDW在Windows Vista刚刚发布的时候也曾经公布过类似的调查统计,当时的预测是:有86%的企业和组织将会部署Vista,并且在Vista上市的第一年内就会有20%的企业这么做。
而在15个月后,Vista所交出的答卷和成绩都不那么令人满意。更何况,面对企业级系统的大规模升级,用户的步伐通常都会比较谨慎和缓慢。相信在国内这样的情况更为普遍,CIO们通常还是比较“保守”的。即使是在目前看来,业界普遍认为Windows Server 2008还是拥有很多的亮点,尤其是融入了微软已经开始高举的虚拟化技术,但相信这仍不足以吸引用户立刻跟进。
此外,毕竟Windows Server 2003的官方支持期限一直会持续到2015年,这也给了用户进一步等待和观望的时间。再说,Windows Server 2008又与Windows Vista有太多的“瓜葛纠缠”,这种“瓜葛纠缠”也不免给用户带来了些许不安。那么,微软原本希望服务器与客户端产品同时更新的如意算盘能否打响?这个问题要交给用户来回答了。
事实上,Windows Server 2008对于企业用户或者更具体地讲是数据中心的管理人员来说,是“福”也是“祸”,他们是否已经对这个新的服务器操作系统所带来的技术更新和变化有了充足的准备很可能会成为部署成败的关键。如果准备不足,那么很有可能会被这个“长角”(微软新的服务器端操作系统的开发代号为Longhorn,通常被翻译为“长角”)顶得人仰马翻。
对于数据中心的管理人员来说,没有什么比像服务器基础架构的变化更加复杂了,CIO们甚至会把这种变化形容为“厄运”和“灾难”。而无论这种变化是引入了新的虚拟化技术,还是对网络访问控制软件进行了升级,又或者是使用了新的命令行参数,企业服务器的管理都是一项困难重重的工作。更重要的是,这些变化往往都是同时进行的。
而Windows Server 2008无疑将会对大多数企业和组织的基础架构产生重要影响。那么,这次微软的重要升级又会引发怎样的状况呢?相信答案在很大程度上将会取决于用户什么时候开始规划?部署的速度有多快?以及希望Windows Server 2008的哪些特性成为技术基础架构的重要组成部分。
然而,就像企业以往应对软硬件产品的重大升级一样,相信大部分企业可能会选择“分阶段实施”的策略,因为这样可以很好地控制要部署哪些服务、何时部署这些服务,同时,在升级系统的过程中,也可以把安全风险控制到最低。
当然,也有观点认为及早部署是成功的关键,至少从现在就要开始规划,并尽快完成系统的升级。有分析师就表示,新的Windows Server 2008操作系统有很多新的企业级特性,如重视远程管理,安全方面也有了新的改进。这些特性将会改变管理员处理工作的方式。因此,CIO以及数据中心的管理人员至少应该尽早地深入了解和掌握Windows Server 2008,并开始做好相关的准备工作。
我们可以肯定的一点是,Windows Server 2008必定是一款全面超过了Windows Server 2003的产品。对于企业级用户来说,他们非常看重的稳定性、安全性、可扩展能力以及迁移能力都会有所进步。那么,无论企业是选择“分阶段逐步实施”还是“尽早部署”,及早更好地了解和掌握Windows Server 2008是CIO和数据中心的管理员们所必须要做的。
最大的改变: Server Core和新的IIS
相比Windows Server 2000到Windows Server 2003更新时微小的变化,可以说Windows Server 2008是对Windows Server产品系列核心代码的彻底更新。Windows Server 2008共享了Windows Vista的许多核心代码,这部分核心代码应用了安全开发模式(SDM)。而SDM是微软在编程学上的一个重要改进,它把安全的概念直接应用到了服务器操作系统中。
Windows Server 2008最重要的改变就是Server Core和新的IIS——Internet Information Services 7.0。Server Core是Windows Server 2008的一种最小安装模式,它包含了可执行文件和服务器的一个子集,其对服务器的管理是通过命令行方式或者配置文件完成的。
据悉,Server Core适合于那些仅仅需要在多台服务器上执行特定任务,而不需要很高稳定性的企业或组织,也比较适合于那些对安全性有较高需求的环境。Server Core能实现下面的几种功能:动态主机配置协议服务器(DHCP Server); 域名服务器(DNS Server); 文件服务器;打印服务;域名控制;Windows服务器虚拟化;Windows媒体服务(WMS)等。在这种安装模式下,IIS只包括其正常功能的一部分,也就是只包括静态HTML,并不支持动态Web应用。
另外,Server Core服务器能够构建集群系统;能够实现网络负载均衡; 能够宿主Unix应用程序; 能够利用Bitlocker加密驱动;能够利用PowerShell远程管理,并通过简单网络管理协议(SNMP)进行控制。
网络方面的改进
首先就是TCP/IP协议栈的改进。或许对Windows Server 2008的改变就是对TCP/IP栈本身的一种改变。比如,一个很明显的改变就是TCP窗口大小的自动调整。Windows Server 2008能够为每次连接自动调整窗口的大小,这无疑就增加了机器之间大数据量传送的效率。
而在Windows Server 2003中出现的失效网管检测算法在Windows Server 2008中有了一些改进。另外,网络扩展方面也得到了改进,在以前的版本中,一个NIC(网络接口卡)只能被关联到单个物理CPU上,而Windows Server 2008则支持扩展NIC与多个CPU之间的关联。
其次就是终端服务的改进,新增加的三个特性值得CIO们关注。第一个特性是终端服务远程应用(Terminal Services RemoteApp),也就是能够在支持终端服务的机器上定义将要运行的程序。用户不需要知道他们现在使用的应用程序是在哪台机器上运行的,除非是出现了明显的、因网络延时或者服务器过载而引起的较长延时。
第二个特性是终端服务网关(Terminal Services Gateway),也就是允许用户通过任何一个Web门户网站访问终端服务的应用程序,其传输方式是通过一种加密过的https通道。而且,该网关能够通过防火墙发送连接,并完成NAT转换。
第三个特性是终端服务Web访问(TS Web Access),这个特性能够让服务器管理员公开地在Web页面上发布可用的终端服务远程程序。用户能够在网页上浏览他们希望运行的应用程序,点击之后便能把它嵌入到自己的应用程序中来。
另外,Windows Server 2008还引入了只读域控制器(RODC)的概念。RODC拥有一份只读的活动路径,这样最直接的好处就是更快速地登录,以及对其他网络资源可以更快地验证。
安全性的改进
自从Windows诞生那天起,安全问题就一直让微软成为被诟病的对象。在最近几年,随着网络的发展,更是有很多缺陷渐渐地被暴露了出来。因为产品
本身的设计问题,打补丁已经成了微软产品使用者最常用的安全防范措施。这次,微软希望在新的Windows Server 2008中不再出现类似的问题,因此,Windows Server 2008在架构上有了很大的改变。
首先,系统文件保护这项新特性是为了确保服务器启动过程的完整性。Windows Server 2008在启动过程中基于使用中的内核文件创建了一个验证码和一个特殊的硬件抽象层,以及启动期间的所有驱动。假如在后续的重启过程中发现这些文件被改动,操作系统便会知道并阻止重启过程,让用户能够进行必要的修复。另外,操作系统文件的保护也延伸到了那些存储在磁盘上的二进制图像文件。
驱动器加密已经成为了最近一个比较流行的主题,微软一直在紧锣密鼓地加强这方面的研发。BitLocker便是用于驱动器加密的一种工具,其专门对付那些获得了物理驱动器访问权限的黑客。如果没有加密,黑客便可以简单地重启操作系统或者运行一个黑客工具来访问文件。Windows Server 2000和Windows Server 2003中的加密文件系统EFS(Encrypting File System)虽然有所进步,但是用于解密文件的密钥却没有得到应有的保护。
而利用BitLocker,密钥就可以存储在Trusted Platform Module芯片上或者用于重启系统的USB闪存中。这样就能够加密整个Windows文件系列,包括用户数据和系统文件、休眠文件、页面文件以及临时文件等。同时,整个启动过程本身也被BitLocker保护。
在Windows Server 2008中,管理员能够控制所有设备的安装,包括USB驱动程序、移动硬盘以及其他新设备的驱动程序。用户可以简单地部署一台机器,并且让所有的新设备都无法安装。当然,也可以基于设备种类或者设备ID来处理哪些设备可以安装。比如,只允许安装键盘和鼠标,或者可以只允许指定ID的设备安装,比如只允许安装某个品牌的产品。而这些都可以通过Group Policy来进行配置。
管理性的改进
很多管理员都很喜欢远程安装服务RIS(Remote Installation Services)。而在Windows Server 2008中,微软对RIS进行了彻底的修改,并且重命名为Windows部署服务——Windows Deployment Services(WDS)。
WDS仍然通过预启动执行环境(PXE)和简单文件传输协议(TFTP)作用于操作系统,但是现在它还包括了Windows PE(一种图形方式的前端界面)来控制安装的过程,而不是采用原先的蓝屏方式安装。
在以前版本的服务器操作系统中,如果想参看进程的状态,只有两种基本工具——任务管理器和性能监控器。而在Windows Server 2008中,这两种工具统一成为了一种,被称为性能诊断控制台PDC(Performance Diagnostics Console),这样更方便查看机器正在运行任务中的统计数据。
另外,资源查看器(Resource View)变得更简单;稳定性监控器(Reliability Monitor)能够显示哪些事件导致了稳定性的降低;可靠性监控器(Reliability Monitor)将生成“稳定性指数”,其范围从1到10,用于指示系统的可靠程度;事件查看器(Event Viewer)被重新设计,允许访问当前服务器,甚至其他服务器上的日志。
虚拟化的融入
Hyper-V是微软提出的一种系统管理程序虚拟化技术,用微软自己的话来说是“下一代基于虚拟机管理器(Hypervisor)的虚拟化平台”,其与操作系统进行整合,以此来允许用户动态增加物理和虚拟资源。
Hyper-V有三个主要组成部分: 虚拟机管理器、虚拟化堆栈和新的虚拟I/O模型。Windows虚拟机管理器主要是用来创建不同的分区,每一个虚拟化实例代码都会在各自的分区内运行;虚拟化堆栈和虚拟I/O模型用于提供与Windows自身以及所创建的各种分区之间的交互。
这三个组成部分之间是相互协调工作的。Hyper-V中的服务器带有配备Intel VT或AMD-V辅助技术的处理机,Hyper-V使用这个服务器与虚拟机管理器进行交互。虚拟机管理器是Hyper-V软件中一个很小的层面,并直接在处理机中体现出来。该软件在处理机中抓住线程,使得主机操作系统可以在单一物理处理机上运行,并有效地管理多个虚拟机及多个虚拟操作系统。
事实上,虚拟化的思想不仅仅在于消除机器的重叠和节省成本,还在于与未虚拟化的服务器相比,在服务上有更高的可用性。在这种背景下,Hyper-V还支持多客户机的集群。其可以将多个运行于Hyper-V组件的物理机组成集群,这样万一主机发生某种故障,虚拟化实例可以将故障转移到另一个主机上;还可以将虚拟机从一个物理主机移植到另一个物理主机,而不会发生停机,并且简化服务、计划和重组的过程,从而大大地减少了服务所带来的负面影响。
最后,利用Windows Server 2008中新的镜像磁盘功能,可以在多个位置上设置集群。也就是说,可以分别在世界上的不同大陆板块之间设置集群,而没有必要一定要在它们之间拥有一个单一的共享磁盘。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。